辽宁经济干部管理学院网络建设方案.doc

《辽宁经济干部管理学院网络建设方案.doc》由会员分享，可在线阅读，更多相关《辽宁经济干部管理学院网络建设方案.doc（24页珍藏版）》请在三一办公上搜索。

1、辽宁经济干部管理学院新校区网络建设方案2010-8-26目 录第1章新校区数字化校园网络建设目标与远景展望31.1新校区数字化校园网络建设目标31.1.1信息化的总体建设目标31.1.2网络平台的建设目标31.2数字化校园网络建设远景展望4第2章数字化校园建设需求分析6第3章新校区网络整体方案73.1高速可靠先进的基础网络平台73.1.1三核心环网架构保障了网络平台的高可靠性73.1.2万兆网络骨干带宽为业务开展打下坚实基础83.1.3全面支持IPV6的接入交换机保障校园网应用系统IPV6过渡93.1.4宿舍网安全认证计费系统的全面建设为校园网络运营打下坚实的基础103.1.5校园骨干网络MP

2、LS VPN建设，充分保证一卡通、监控等数据的隔离及安全113.1.6校园网络出口区域的完善保证校内、外用户顺畅地访问校园网内外资源123.1.7数据中心二层保护，充分抵御内外网攻击133.2校园网全局安全系统的部署153.3校园网运营系统的建设163.4校园网综合管理系统的建设193.6 校园网数据中心的建设21第4章新校区校园网设备清单22第1章 新校区数字化校园网络建设目标与远景展望1.1 新校区数字化校园网络建设目标1.1.1 信息化的总体建设目标辽宁经济干部管理学院新校区校园网的总体建设目标是：建设一个符合学校发展宏图的网络化、信息化、数字化新型校园环境，为学校培养高素质的经济管理干

3、部领域创造性人才、从事高水平经济管理工作和知识创新、进行高科技辐射、高技术产业化和国际文化学术交流提供重要支撑，积极推进我校“研究型、综合型、创新型”一流职业技术学院建设。1.1.2 网络平台的建设目标网络与基础设施平台的建设目标是：建设一个高可用、高安全、高稳定、易管理的校园网络与基础设施平台，为网络资源的充分利用和共享提供强有力的保障，为学校的全面信息化奠定坚实的基础。1.1.2.1 网络基础设施的建设目标网络基础设施比较完善，基本形成覆盖全校的高速网络。在网络规模、技术水平、性能、稳定性和安全性方面，达到国内领先和国际一流水平，为学校各类应用系统和公共资源服务提供一个高速安全可靠的额基础

4、平台。1.1.2.2 安全的建设目标完善校园安全防护体系，建设一套行之有效的安全管理机制，采用统一的接入网身份认证，主动发现、及时防御、迅速解决安全问题，并采用各种技术有效防止校园网络病毒的传播。1.1.2.3 运营的建设目标在全校范围内建设宿舍网络，使所有的学生都可以在宿舍当中访问校园网中和校外的丰富资源，同时建立起丰富灵活的计费，运营策略，保障校方投资收益，满足学生上网需求，达到双赢的目的。1.1.2.4 管理的建设目标建立一套统一有效的综合网络管理系统，能够直观全面地监控整个网络，各种服务器设备，空调，UPS等以及众多的软件数据库，中间件的运行状态，以业务为中心来对校园网络当中的各类业务

5、系统进行综合的管理，同时详细记录和深入分析网络流量，对各种故障和性能问题及时告警，协助管理员快速定位故障起源，并且对网络的性能变化和故障发生提前进行预测，实现直接对业务的综合监控及管理。1.2 数字化校园网络建设远景展望通过网络与基础平台的建设，将为开展信息化应用和资源建设充分提供所需的通信能力、计算能力和存储能力。我们将建成一个高可靠、可管理、安全可信的校园网络，并实现主动的、动态的网络管理和监控。我们将为用户提供随时随地、安全便捷的上网环境和个性化、便捷、优质的信息服务。让我们来展望一下五年后美好的校园网络远景：l 网络覆盖校园的的每一个角落。每一位教师及学生随身携带着便携式计算机或其它信

6、息终端（如PDA、智能手机等），走到校园的任何一个角落，都可以以有线或者无线的方式，方便的接入校园网络，访问校园网络中及Internet上的各类资源。l 网络十分畅通、可靠和安全。各种数据流和信息流传递非常快速，一卡通系统，监控系统，校园网系统中的语音信号、视频信号等多种业务系统都可以统一地在同一套网络上流畅地传输、清晰地播放，相互之间不受干扰，安全独立地进行运行。l 网络运行十分稳定、可靠，几乎不会发生任何阻塞、停顿和中断现象，网络中通过多层面的容灾及冗余架构设计，是的在任何意外情况下，网络都能够7*24*365不间断正常运行。网络的安全性也得到了充分保护，几乎不用担心病毒、木马和黑客和非法

7、入侵的袭扰。l 宿舍网全面建设运营体系，所有的学生都可以在宿舍当中自由自在地，随时随地地接入校园网络，在网上学习的同时充分享受互联网带来的各方面的便利及乐趣，在为学生提供服务的同时，校方还可以从宿舍网的运营当中获取收益，并将此部分收益再次投入到学校的数字化校园建设当中，以网养网，实现良性的询环。l 网络管理非常简单、高效。实时的网络管理与监控系统可以对所有的网络设备，服务器设备，软件数据库，中间件以及空调、UPS等设备进行有效的综合管理，实现对校园网络关键业务的重点监控，优化管理。并且可以通过人性化的界面，直观的展示数字化校园建设成果，通过管理系统提供的丰富的报表，不断改进校园信息化工作，达到

8、持续进步的目的。第2章 数字化校园建设需求分析l 骨干网络的可靠性要求高，核心设备需做冗余备份；l 网络骨干带宽要求高，需支撑未来几年数字化校园各类业务系统的部署及应用；l 整网网络设备需全面支持IPV6，以便后期全校的IPV6应用统一部署；l 建立完善宿舍网络，配合完善的运营机制；l 打造合理的校园网络出口，在保证校园内用户高速上网的同时，通过对不同应用及用户的限制，实施差异化服务。l 无法审核用户身份：当有个别用户发表发动言论的时候无法定位最终用户。l 无法保障入网终端的安全性：用户终端的Windows补丁不及时更新，杀毒软件客户端不及时安装，导致用户终端非常容易感染病毒，影响网络的正常运

9、行。l 宿舍网建设以后，需要对网络进行合理的运营，管理并创造收益。l 需要综合管理系统：目前老校区中使用的网络管理软件只能管理网络设备，而不能管理服务器系统及空调，UPS等，造成的后果就是不能针对于具体的业务系统来进行故障的跟综及提前预防，只能被动的响应。l 需要流量管理系统：老校区现有的网管系统无法全面地监控整个网络的流量，无法记录和深入分析网络流量，及时报告各种故障和性能问题，也无法对网络的性能变化和故障发生提前进行预测。l 对于学校的数据中心，需要有完善的保护机制，服务器暴露在内外网的攻击之下，学校的WEB服务器更是存在被篡改和挂马的风险。在新校区的建设中，通过采用先进的创新型技术，力争

10、为我校新校区打造一个全新的高可用，高安全，高可靠以及易管理的校园网络，为校园信息化的发展提供可靠的保障。第3章 新校区网络整体方案3.1 高速可靠先进的基础网络平台3.1.1 三核心环网架构保障了网络平台的高可靠性三核心环网架构充分保障网络的稳定可靠如上图所示，新校区校园网采用锐捷网络“十万兆”扩展的S8614系列核心交换机，汇聚采用S8606用于学生宿舍区、教学办公区和图书馆等区域的汇聚交换机，各个区域楼宇采用S5750万兆汇聚交换机，服务器区和数据中心采用万兆汇聚S7804交换机做数据中心汇聚交换机。所有区域大汇聚交换机均采用双万兆链路上行于核心区域，如此则三核心环网中的任何一台核心出现问

11、题，都不会影响业务的转发，同时三核心的架构还能对网络流量进行相应的负载分担，充分保障流量的合理分配。3.1.2 万兆网络骨干带宽为业务开展打下坚实基础万兆骨干网络核心为数字化校园提供高性能的网络如上图所示，新校区校园网网络骨干带宽全面升级为万兆，相比于现在老校区采用的千兆带宽性能提升十倍，最终实现核心“十万兆”级架构，核心至汇聚骨干万兆带宽、汇聚至接入千兆带宽、百兆到桌面的辽宁经济干部管理学院新校区校园网新一代网络架构。3.1.3 全面支持IPV6的接入交换机保障校园网应用系统IPV6过渡接入层全面支持IPV6协议如上图所示，新校区校园网中所有的接入交换机均为支持IPV6的S2600系列交换机

12、，如此则保证新校区校园网络当中核心，汇聚，接入所有的网络设备全面支持IPV6，保障了未来整个校园网应用系统升级至IPV6的平滑性及扩展性。3.1.4 宿舍网安全认证计费系统的全面建设为校园网络运营打下坚实的基础通过安全计费管理系统运营宿舍网络如上图所示，在我校新校区将全面建设宿舍网网络区域，所有的宿舍楼均布放相应数量的楼栋汇聚及楼层接入交换机，各个楼栋汇聚交换机以万兆链路上行至核心交换机，最终达成的效果是宿舍中所有的学生都能够通过宿舍网络平台访问校园网资源，同时也能够访问Internet来进行网上的学习，娱乐。 良好的宿舍网络平台的搭建，将为后期大范围开展宿舍网的运营打下坚实的基础，通过以网养

13、网的良性循环，最终达到数字化校园可持续发展的目的。3.1.5 校园骨干网络MPLS VPN建设，充分保证一卡通、监控等数据的隔离及安全MPLS VPN避免网络重复建设，保护投资在新校区的建设中，各类业务数据都将承载于校园网络之上，通过MPLS VPN等新技术的引入，而不用再单独的为如一卡通、财务、考务等数据建立专网，充分利用校园网资源，避免重复建设，充分保护投资，达到安全性及经济型的有效结合。在后续的网络扩展中，可通过调整配置，不断的在校园网上划分出逻辑独立、安全保密的网络。3.1.6 校园网络出口区域的完善保证校内、外用户顺畅地访问校园网内外资源辽宁经济干部管理学院网络出口区设计互联网接入区

14、采用2台RG-WALL 1600E防火墙为对外发布的服务器及内部用户提供安全保障，同时采用专用出口路由器RG-NPE60为全校内部私有IP提供NAT服务，在校园网同时采用防火墙及路由器将安全及NAT功能分离，使上述设备各司其职，发挥最大的效用，NPE60设备支持智能DNS功能及链路负载分担功能，能够保证校园内，外用户都可以非常顺畅地访问校园网内，外资源。 同时在出口区域部署两台RG-ACE3000应用控制引擎，目前校园网络当中BT,迅雷等P2P软件应用广泛，P2P软件特点是下载速度非常之快，但是其占用出口带宽过大，严重影响其他用户的正常流量，RG-ACE 3000可以首先进行出口流量的分析,然

15、后根据分析结果制定流量控制策略,最后下发策略,根据此策略对网络出口流量进行调整,保证校内正常的办公,上网流量。通过和锐捷网络安全计费管理系统的联动，可实现基于用户的带宽分配和带宽保障，充分保证校园网中的服务质量，为网络运营提供差异化、优质化和精细化的管理服务。 本次新校区网络建设在出口区还部署了强大的网络日志审计系统，该系统为锐捷网络的RG-Elog ，RG-Elog是锐捷网络公司开发的网络日志系统。产品用于局域网出口日志NAT日志和URL访问日志采集，以提供网络用户行为的日志审计和出口流量的统计分析，该系统的最大特色是能够和校园网络当中的认证，计费系统联动，直接在日志系统当中显示内网的用户名

16、而不是IP地址，实现校园网络日志审计实名化的功能，为学校后期的网络言论监督和审查以及配合网监部门的行动将更加有效。同时在考虑到校领导及教职员工在外出差或者在家办公的需要，专门在校园网络的出口区部署了VPN设备，通过该VPN设备，在外出差或者在家办公的教职员工可以做到像在校内一样随时随地的访问校内资源。3.1.7 数据中心二层保护，充分抵御内外网攻击在数据中心的保护方面将充分考虑一下两方面的问题，第一是校园网内部对服务器区的访问权限控制；第二是对校园WEB门户网站的保护。针对第一方面的问题，通过在锐捷网络核心交换机上扩展防火墙模块，将核心交换机上所有接口纳入防火墙管理，同时通过防火墙的虚拟化功能

17、实对各部门业务服务器的分权管理和独立保护；通过S8600交换机虚拟化防火墙板卡保障数据中心服务器安全针对第二方面的问题，考虑到当前针对于WEB门户网站的攻击日益严重，特别在校园网WEB门户网站区部署了专业的硬件网站保护系统RG-WebGuard3000，防止对校园网门户主页进行篡改和挂马，并且集成的防病毒网关可实现网站对大部分病毒的免疫，真正达到网站事前防御和事后恢复的目的。RG-WebGuard3000，具体部署方式如下图所示：WebGuard网站保护系统部署示意图3.2 校园网全局安全系统的部署为保证整个校园网网络系统的安全，需要在全校部署全局安全系统，该系统可以在整网实施统一的安全策略，

18、实现：用户身份合法化，保证只有合法的用户才能够连入网络，用户终端安全化，保证连入网络的用户的主机的系统的安全性（Windows补丁更新，杀毒软件及时安装等），并且通过与IDS设备的联动，实现网络通信的安全性，如此则彻底解决内网安全性问题。GSN部署示意图3.3 校园网运营系统的建设宿舍网的大规模建设为校园网络的运营创造了有利的条件，整个数字化校园的建设投入是非常巨大的，而唯一能够为学校创造价值的地方就是宿舍网的运营，因此合理的选择和规划运营系统就显得及为重要。校园网“五位一体”运营解决方案就是在这个背景下诞生的，它代表了未来校园网络运营的发展方向。“五位一体”即：802.1X和WEB一体化，准

19、入和准出一体化，校内和校外一体化，有线和无线一体化，IPV4和IPV6一体化。802.1X和WEB一体化：传统的802.1X认证需要安装客户端，客户端认证的部署方式非常适合于在宿舍网进行部署，因为客户端的安装可以“防代理”，保障学生区的运营收益，而对于办公区的教职员工来说，进行客户端的安装比较困难，容易引起用户的抵触情绪，因此无需客户端的WEB认证方式比较适合在办公区部署。“802.1X和WEB一体化”即指用户的接入交换机同时支持802.1X和WEB认证。五位一体部署图一准入和准出一体化：准入认证是为了验证身份，确保网络用户身份的合法、真实；并且，可以有效地防止账号盗用、防IP篡改实现内网的安

20、全、可控。准出是为了区分权限，需要针对某个网络用户是否可访问校外、可使用多少流量、可占用多少出口带宽等进行定义。准入和准出一体化即指：校园网采用统一的安全计费管理平台，用户仅需1套账号密码并能够自由、自主的在内外网访问间实现方便的切换。五位一体部署图二校内和校外一体化：校内指的就是校园内部的用户，校外指的是在校外用VPN拨入的用户，校内和校外一体化即指仅需要1套系统来对校园网内部用户及外部VPN用户，而校园网的用户无论是在校内还是在校外都只使用1份用户身份信息进行身份认证的操作。 五位一体部署图三有线和无线一体化：随着校园网络的不断完善，为方便用户随时随地的接入，无线校园网的建设势在必行，随着

21、无线用户接入数量的不断增多，必然要对无线用户进行身份的审核，有线和无线一体化即指：校园网采用统一的安全计费管理平台来对有线及无线用户进行统一的运营管理。五位一体部署图四IPV4和IPV6一体化：下一代互联网的发展和演进势不可挡，高校作为下一代互联网关键技术研究及应用的主题，要实现向下一代互联网的平滑过渡，以提供更加普遍的IPv6用户访问和更加普遍的IPv6用户服务。IPV4和IPV6一体化即指校园网运营管理系统要求同时承载IPv4协议和IPv6协议，满足IPv4接入和IPv6接入需求。五位一体校园网安全运营解决方案仅需1套安全计费管理系统、最少1名运维管理人员、每用户1套账号密码，即可实现全网

22、统一认证运营管理；五位一体不是终点、不是静止的状态，而是动态的趋势，其可最大限度的减少建设投资成本、降低运维管理难度、优化用户使用体验、改善网络安全审计、实现面向数字校园的开放整合。3.4 校园网综合管理系统的建设学校业务在不断的发展，应用的不断增多，设备数量快速膨胀，可是我们学校信息化建设和管理的人员是有限的，如何通过一种方式进行高效的管理是一个难题。 信息化建设思路难理清我校目前使用的网络管理系统只能管理校园网络当中的网络设备，无法管理服务器系统，对上述日趋丰富的业务系统的管理更是无从谈起。我们希望可以通过一个融合、只能、开放、标准的平台，从业务的角度将数字化校园所有的资源都实时得监控和管

23、理起来，准确方便的了解其运转的健康情况，在出现问题之前，我们可以找到瓶颈、在出现问题之后可以准确定位，对症下药。并且通过长期的积累，制定出信息化健康运转手册，帮助我们后续的维护和规划。为适应未来数字化校园的发展，更好地为各类业务系统提供支撑服务，我们需要综合的网络管理系统，其不单单能够管理网络设备，同时还能够管理服务器系统，甚至还能够通过第三方接口管理中心机房的空调及UPS系统。如何从复杂的软硬件系统中识别关键业务如上图所示，综合网络管理系统将物理的网络设备，服务器系统与逻缉的业务系统进行对应，直接以图形化的方式显示业务系统的健康度，繁忙度等指标，为我们了解业务系统的运行装况及提前作出故障预防

24、，提供宝贵的数据参考。锐捷网络RIIL-BMC集中监控解决方案3.6 校园网数据中心的建设锐捷网络存储解决方案新校区数据中心采用虚拟化管理引擎RG-iS-V2000/3000对学校所有原有的光纤阵列以及新增的磁盘阵列进行统一管理。l 部分要求高带宽服务器使用光纤阵列空间l 其他服务器使用IP SAN空间l 利用RG-iS-V2000/3000的跨盘柜镜像功能，将光纤盘柜中的关键数据镜像备份到新增的阵列中，将两台阵列置于不同楼宇中，实现数据的跨楼宇灾备。如上方案新校区数据中心可以实现如下特点l 突破FC SAN的距离限制，消除SAN孤岛l 轻松提供跨楼宇容灾方案l 充分利用存储空间l 灵活的对F

25、C盘阵进行在线空间扩展l 提供跨盘阵的卷镜像、快照、复制等功能确保数据安全l 轻松实现跨盘阵数据迁移、应用服务迁移l 大幅减少FC SAN扩容的高昂费用l 保护原有投资，充分利用原有存储第4章 新校区校园网设备清单辽宁经济管理干部学院新校区网络项目设备清单序号产品型号产品说明数量核心交换机S8614-Chassis14扩展槽主机箱（含风扇阵列柜，不含电源和管理引擎模块）2M8614-CM II二代管理引擎模块(可以冗余，提供USB管理接口，配合多业务卡使用)4RG-PA1200E交流电源模块（可以冗余，1200W，配16A电源线和电源插头，长度3M）4M8600-24SFP24个100/100

26、0M自适应千兆光口线卡2M8600-48GT/4SFP48个10/100/1000M自适应电口+4个复用SFP千兆通用接口线卡2M8600-MPLS高性能多业务卡，支持MPLS功能2M8600-NMM流量监控多业务扩展卡2RG-WALL 1600 FW Module高性能防火墙模块1Mini-GBIC-LX1000BASE-LX mini GBIC转换模块40汇聚交换机（小汇聚）Mini-GBIC-LX1000BASE-LX mini GBIC转换模块40RG-S5750-24GT/12SFP增强型24端口10/100/1000M自适应电口，12个复用的SFP接口，2个扩展槽20接入交换机RG

27、-S2652G-E48口10/100M自适应端口，2个SFP/GT光电复用口（SFP为千兆/百兆口），1个扩展槽170网络出口设备RG-NPE60网络出口引擎固化2个万兆SFP+接口，固化8个光电复用GE口，4G 内存，内置风扇，2个冗余电源， 1个Console口1RG-ACE 3000高端千兆应用控制引擎，6Gbps处理能力，4个千兆SFP光口，2个千兆电口1个千兆管理接口+1个千兆HA接口（电口内置Bypass功能，光口实现Bypass功能，需要另外配置RG-ACE-OBS模块）1RG-WALL 1600E千兆高端防火墙安全网关，全模块化设计；默认提供4GE+4SFP，提供1个模块化插槽

28、，支持8GE/8SFP/4GE/4SFP扩展，支持2口万兆光模块；电口支持Bypass功能，配置冗余电源，标准2U设备，自带10个IPsec/SSL VPN隧道1RG-WG 3000高端千兆WebGuard应用保护系统，3Gbps处理能力，固化6个GE口+4个SFP口；提供2个模块化插槽，支持4GE/4SFP/8GE/8SFP（电口内置Bypass功能），支持2口万兆光模块1RG-WG 3000-LIS-1YRG-WG 3000特征库升级-1年2存储设备RG-iS346064位4核存储处理器，4GB缓存，6个GE端口，最大可扩展至10个iSCSI口或6个FC口，16盘位，支持SAS和SATA硬

29、盘，可扩展，含管理软件1RG-iS-SATA1TB1TB SATA企业级磁盘10安全认证计费系统RG-SAM V3.X企业版企业版软件，含1000用户；包含认证和计费部分；可以用来做群集；如果需要群集，必需购买两套企业版和两套License；FOR Win2003 Server + SQL Server 20051RG-SAM V3.X企业版License1000用户以上，超出部分每1000用户8RG-ePortal V1.X 企业版 企业版软件，含1000用户；用于web认证和计费，需要配合SAM一起使用，可以做集群，最高支持用户数5000；FOR Win2003 Server + SQL

30、Server 2005 1RG-ePortal V1.X 企业版License 企业版配套License，每个License含1000 Web用户授权 8网络安全管理系统SMP.edu ProSMP.edu Pro软件本体（含可管理至10个网元，一个网元指一台认证交换机）1SMP.edu Pro License当使用SMP.edu Pro管理10个网元以上的，超出部分每10网元价格16流量分析系统锐捷流量分析系统-10结合锐捷交换机多业务线卡及RSR、NPE全系列路由器做网内流量分析，管理10端口，含一年服务1锐捷流量分析系统年服务费-10流量分析系统10端口版本每年的服务费用2网络管理RG-

31、SNC-Base 智能网络指挥官基础组件，不含节点1RG-SNC-Topo 智能网络指挥官拓扑管理组件,可提供拓扑展示1RG-SNC-License-200SNC 软件License，每个License可增加200个设备节点授权许可1IT运维管理RG-RIIL-WIN-SRVRIIL for Windows Server，兼容Windows Server 2003/2008各正式发行版本；包含自动网络发现、拓扑管理、性能管理、告警管理、基础报表管理组件；默认最大网络设备监控节点授权数50个1RG-RIIL-NE-LIC-200网络设备对象监控授权（每增加200个被监控的网络设备对象），被监控的

32、IP网络通信设备，包括交换机、路由器、接入服务器等1RG-RIIL-BMC-SUITE关键业务管理套件，内含：业务组件发现、业务可视化管理组件、业务报表分析组件、业务模型建模管理组件，默认可监控2个数据库对象，2个应用服务器对象，2个操作系统对象，2个Web 服务器对象，2个DNS对象1RG-RIIL-BMC-LIC-DB数据库对象监控授权（每增加1个被监控的数据库对象），默认支持数据库类型包含：DB2、SQL Server、Oracle、Sybase、My SQL等4RG-RIIL-BMC-LIC-WEBWeb服务器对象监控授权（每增加1个被监控的Web服务器对象），默认支持Web服务器类型包含：Apache、Tomcat、 IIS等2RG-RIIL-BMC-LIC-APP应用服务器对象监控授权（每增加1个被监控的应用服务器对象），默认支持应用服务器类型包含：WebLogic、Websphere、Tuxedo、Jboss等1RG-RIIL-BMC-LIC-DNSDNS对象监控授权（每增加1个被监控的DNS对象），默认支持标准DNS接口1